「漏洞」到底是什麼？到底怎麼入侵？一起來看看吧！｜專家論點【Huli】

大家常在新聞上看到某某網站或是某某公司又被駭客入侵的新聞，對於遭到駭客入侵後的「結果」應該不陌生。但我相信對於許多人來說，到底所謂的「漏洞」是什麼，「攻擊」又是在攻擊什麼，這些細節應該是無從知曉的，頂多在腦海中浮出電影裡的畫面，只是不斷在敲盤上敲打。

今天我想藉由一些實際案例，跟大家分享所謂的「漏洞」跟「攻擊」到底是怎麼一回事。首先，漏洞有分簡單的跟困難的，這篇會提到的都是能夠比較簡單利用的漏洞，並不代表每一個漏洞都這麼簡單就可以入侵。

既然說是要分享實際案例，那就要有資料來源。台灣有一個由 HITCON（台灣駭客年會）所發起的漏洞回報平台 HITCON ZeroDay，白帽駭客們可以在上面回報自己找到的漏洞，而背後的志工們在驗證漏洞以後，會回報給相對應的組織，例如說學網相關的可能就會回報給台灣學術網路危機處理中心。

這個平台的立意良好，畢竟有些公司如果你自己回報漏洞的話，有可能會被誤認為是來勒索或是敲詐，但透過平台回報，就能減少這類型的問題。而且在這邊回報的漏洞，也依循著國外行之有年的做法，就算沒有修復，在一定時間（例如說兩三個月）後也會公開，讓廠商對自己產品的漏洞負責。

底下這個網址可以看到所有已經公開的漏洞（以修完的佔大多數）：https://zeroday.hitcon.org/vulnerability/disclosed

我們可以看到許多不同成因造成的漏洞，例如說 ZD-2022-00425 雲端租屋生活網 弱密碼，原因是後台管理系統可以用 test 這組帳號密碼登入，登入之後就進到管理系統了。

是不是跟你想像中的不太一樣？原本以為需要一直敲著鍵盤，打著你看不懂的東西，殊不知只是敲兩遍 test 就入侵成功了。是的，許多現實生活中的漏洞，比你想的簡單許多，而這同時也代表著有許多軟體開發人員對於資安的認識不足。

再來看一個案例：ZD-2022-00416 康軒電子書 FTP帳密洩漏，在程式碼裡面找到一個網址，然後內容就是康軒 FTP 的帳號密碼，登入進去以後就可以拿到網頁原始碼。像這樣子把 FTP 帳號密碼大搖大擺地寫出來，顯然也是很不安全的做法。

最後再來看一個 ZD-2022-00323 弘爺漢堡 個資易讀取，讀取會員個資的 API 必須傳入一個會員的 ID，只要把這個 ID 改成別人的，就可以拿到別人的姓名、電話跟 email。許多網站的會員 ID 都是流水號或是很容易預測的格式，所以理論上來說，等於是可以拿到所有會員的個人資料。

從上面這些漏洞中就可以看出，有許多現實世界會發生的漏洞，可能跟大家想的不太一樣，漏洞很簡單就能夠入侵，而入侵方法連一般人都能夠操作。上面的列表還有更多更多漏洞，也有提供搜尋功能，感興趣的朋友們可以搜搜看自己有用過的網站。

這篇文章並不是在說「你看，當駭客很容易」，我在一開始就有強調說漏洞有簡單的有困難的，這篇講的都是比較簡單的案例。我想表達的事情是「你看，並不是所有漏洞都跟你想的一樣這麼難，也有這種簡單的」，下次在看這些網站時，你也可以多花點心力試試看，說不定你也能找出這類型的漏洞。

而身為開發者，自然就是必須時刻提醒自己，不要寫出這種很容易就能被攻擊的程式碼，要把基本的資安做好。

瀏覽 1,668 次